Upload
bga-bilgi-guevenligi-as
View
1.435
Download
1
Embed Size (px)
Citation preview
Volkan ERTÜRK @VolkanErturk @PicusSecurity
Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Test Edebiliriz?
Volkan Ertürk
• Picus Security – Kurucu Ortak & CEO
• 12+ yıl bilişim güvenliği alanında deneyim
• CISA, CISM, CCSE, 27001LA
• PhD Adayı @ODTÜ Bilişim Sistemleri
• Ağ güvenliği ürünlerimde bir sorun yok ki!
• Diyelim ki sorun var! Başıma ne gelebilir ki?
• Millet bu konuda ne yapıyor?
• Hımm bir arkadaşımın bu konuda sorunları vardı. Sizce ne yapmalı?
30 dakikamı neden sana vermeliyim?
Ağ Güvenliğimizi Nasıl Sağlıyoruz?
En iyi ürün ve teknolojileri kullanarak
Katmanlı Güvenlik
Sürekli İyileştirme
ProaktifBakım
EntegrasyonThreat
Intelligence
Ağ Güvenliğimizi Nasıl Sağlıyoruz?
Ağ Güvenliğimiz Gelecek Siber Atakları Engelleyebilecek mi?
• Bu saldırıların ne kadarını engellemesini
bekliyoruz?
• Bunu nasıl ölçeceğiz?
Pratik IPS & WAF Testi
curl http://www.kurum.com/cmd.exe
curl http://www.kurum.com/Volkan-cmd.exe
Ağ Güvenliği Ürünlerinin Testi
Kim yapmalı?
Uzman personel
Hizmet alımı
Ürün alımı
Ağ Güvenliği Ürünlerinin Testi
Ne sıklıkta yapılmalı?
Ağ güvenliği sistemlerinde değişim ne sıklıkta?
Ağ güvenliği ürünlerinin devre dışı kalması veya
etkinliğinin azalması ne kadar kritik?
Bu sistemlerde oluşan bir sorunun ne kadar süre
içerisinde tespit edilmesi hedefleniyor?
Ağ Güvenliği Ürünlerinin Testi
Nereden yapılmalı?
Laboratuvar
Operasyonel Ağlar
Ağ Güvenliği Ürünlerinin Testi
Hangi ürün(ler) test edilecek?
Tek bir güvenlik ürünü
Katmanlı bir güvenlik mimarisi
Test edilen şey ürün değil, ürün+tanımlı güvenlik politikaları
Ölçmediğin Şeyi Yönetemezsin
Test Etmezsem Ne Olur?
Ağ Güvenliği Ürünlerinin Analizi:Kontrol Listeleri
Ağ Güvenliği Ürünlerinin Analizi:Güvenlik Testleri
Sızma testleri yöntemlerini kullanabilir miyiz?
Yaklaşım: Atakların başarılı şekilde gerçekleşeceği
önceden sağlanmalı ve araya güvenlik sistemleri
koyulduğunda durumun nasıl değiştiği incelenmeli.
Kontrol Listeleri VS Güvenlik Testleri
Bakış Açısı
Çıktı
Analiz Yapan Ekip
Hangisi?
Picus Security’nin YaklaşımıÜretim ortamındaki ağ güvenlik sistemlerini üretici bağımsız bir şekilde sürekli olarak siber tehditlere karşı test eden bir güvenlik yazılımı.
Ağ güvenliğindeki boşlukları ortaya çıkarır.
İyileştirme alternatifleri sunar.
Güvenlik başarımını yönetici seviyesinde raporlar.
Operasyonel ve yönetimsel iş yükü oluşturmaz.
Picus yazılımı kurumun ağ güvenlik sistemleri için bir tomografi cihazı gibi çalışarak kurumun siber ataklara karşı hazır olup olmadığını ölçer.
① Choose the network you want to assess
② Run or schedule the assessment
③ Review findings & Tune Your Security
Kullanıcı CryptoWall zararlısını indirebilir mi?
SQL Injection atağı web sunucularıma ulaşıyor mu?
Sürekli analiz
Eposta alarmları
Yönetim yükü oluşturmaz
Onaylı Test Metodolojisi
Dünyanın önde gelen güvenlik üreticilerinin yaptıklarıçalışmalar Picus test metodolojisini doğrulamıştır.
Picus Atak Veritabanı
1000+ atak
Zafiyet Sömürü
Web Uygulama
Zararlı Yazılım
Her ay en az 50 yeni atak
Kritik ataklar 48 saat içerisinde
ShellShock, Hacking Team Flash 0-day,
Cryptolocker, CryptoWall 4.0
Virustotal Intelligence
Exploit Siteleri ve Siber İstihbarat Takibi
Güvenlik Ürünlerini Test Etmenin Faydaları
Güvenlik sistemlerinizin hangi atakları yakalayamadığını raporlayabilen tek ürün
Gerçek siber ataklara karşı ne kadar güvenli olduğunuzu sürekli olarak ölçer.
Ağ güvenliğinizin güçlü ve zayıf olduğu yönleri ortaya çıkarır.
Güvenlik operasyonlarınızı ve servis seviyesi anlaşmaları (SLA) doğrulamanıza yardımcı olur.
Özetle
• Parası neyse verdim güvendeyim! Ağ güvenliği için
maalesef çalışmıyor!
• Ağ güvenliği ürünlerinin etkinliğini ölçmezsek, bu
ürünleri verimli kullanamayız
• Ağ güvenliği ürünlerini test etmek için kurumda sizin
yapabileceğiniz temel kontroller mevcut
• Ağ güvenliği ürünlerini testleri için çeşitli otomasyon
teknolojilerinden de faydalanmak mümkün.
TEŞEKKÜRLER
Volkan ERTÜ[email protected]